Как отключить доменные политики windows 10

Настройка параметров политики безопасности Configure security policy settings Область применения Applies to Описание действий по настройке параметра

Содержание

  1. Настройка параметров политики безопасности Configure security policy settings
  2. Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console
  3. Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console
  4. Настройка параметра для контроллера домена To configure a setting for a domain controller
  5. Обнуляем настройки групповой политики в Windows 10
  6. Обнуляем параметры групповых политик
  7. В редакторе
  8. В командной строке
  9. Сбрасываем локальные политики безопасности
  10. Вместо послесловия
  11. Отменяем действие групповых политик на локальном компьютере

Настройка параметров политики безопасности Configure security policy settings

Область применения Applies to

Описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединилось к домену, и на контроллере домена. Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.

Для выполнения этих процедур необходимы права администраторов на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена. You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Если локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is inaccessible, it indicates that a GPO currently controls that setting.

Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console

Чтобы открыть локализованную политику безопасности, на экране «Начните» введите secpol.mscи нажмите ввод. To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

В области «Параметры безопасности» дерева консоли сделайте одно из следующих параметров: Under Security Settings of the console tree, do one of the following:

  • Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
  • Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить. When you find the policy setting in the details pane, double-click the security policy that you want to modify.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

  • Некоторые параметры политики безопасности требуют перезапуска устройства до того, как параметр вступает в силу. Some security policy settings require that the device be restarted before the setting takes effect.
  • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console

Для выполнения этих процедур необходимы соответствующие разрешения для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена. You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Откройте редактор локальных групповых политик (gpedit.msc). Open the Local Group Policy Editor (gpedit.msc).

В дереве консоли щелкните «Конфигурация компьютера», «Параметры Windows» и выберите «Параметры безопасности». In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

  • Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
  • Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить. In the details pane, double-click the security policy setting that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками. If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.

Настройка параметра для контроллера домена To configure a setting for a domain controller

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена). The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).

Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику GroupPolicyObject [Имя компьютера], выберите «Конфигурация компьютера»,«Параметры Windows» и «Параметры безопасности». **** To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

  • Дважды щелкните «Политики учетных записей», **** чтобы изменить политику паролей, **** политику блокировки учетных записей или политику Kerberos. Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
  • Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить. In the details pane, double-click the security policy that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

  • Всегда проверяйте созданную политику в тестовом подразделении, прежде чем применять ее к сети. Always test a newly created policy in a test organizational unit before you apply it to your network.
  • При изменении параметра безопасности с **** помощью GPO и нажатии кнопки «ОК» этот параметр вступает в силу при следующем обновлении параметров. When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.

Обнуляем настройки групповой политики в Windows 10

Конечно же, вы знаете, что многие тонкие настройки Windows 10 можно выполнить с помощью изменения локальных групповых политик системы. Увлекшись изменением различных системных параметров в соответствующем редакторе, пользователи иногда могут сделать лишние изменения, которые приведут впоследствии к нестабильности работы операционной системы. Попробуем разобраться, как можно откатить назад сделанные изменения.

Обнуляем параметры групповых политик

В редакторе

Откатить изменения можно непосредственно в самом редакторе. Для этого запускаем его («Win-R»+gpedit.msc).

По очереди открываем следующие разделы:

  • Конфигурация компьютера;
  • Административные шаблоны;
  • Все параметры.

Для того чтобы было легче увидеть сделанные нами ранее изменения, включаем сортировку по столбцу «Состояние» (для этого просто кликаем на заголовок столбца).

Состояние измененных пользователем групповых политик будет установлено либо в положение «Выключено» либо «Включено». Чтобы откатиться к первоначальным значениям дважды щелкаем каждый измененный параметр, в новом окне выбираем опцию «Не задано».

Далее переходим в раздел «Конфигурация пользователя», затем снова раскрываем «Все параметры» и повторяем все описанные выше процедуры.

В командной строке

Восстановить значения параметров также можно буквально за три шага. Запускаем командную строку с правами администратора и, одну за другой по очереди выполняем три команды:

  1. RD /S /Q «%WinDir%System32GroupPolicy»
  2. RD /S /Q «%WinDir%System32GroupPolicyUsers»
  3. gpuрdаte /force

Для сохранения изменений потребуется перезагрузиться.

Сбрасываем локальные политики безопасности

После восстановления исходных параметров групповых политик Windows 10, желательно также вернуть настройки дополнительного инструмента — «Параметры безопасности»- («Win-R»+secpol.msc).

Данное действие выполняется в командной строке (администратор). Пишем в ней такую команду:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

После завершения выполнения перезагружаемся.

Вместо послесловия

Получилось ли у вас вернуть настройки групповых политик Windows 10 на значения по умолчанию?

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

Или в оснастке Службы (Services).

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesgpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

И еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Содержание

  1. Доменные политики windows 10 отключить
  2. Вопрос
  3. Ответы
  4. Все ответы
  5. Отменяем действие групповых политик на локальном компьютере
  6. Настройка параметров политики безопасности
  7. Настройка параметра с помощью консоли Local Security Policy
  8. Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики
  9. Настройка параметра контроллера домена
  10. Как в Windows 10 сбросить настройки локальной групповой политики
  11. Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin
  12. Как устроены групповые политики
  13. Управление групповой политикой и делегирование
  14. Почему встроенные инструменты работы с GPO недостаточно удобны
  15. Как обезопасить GPO (объекты групповой политики)

Доменные политики windows 10 отключить

trans

Вопрос

trans

trans

Ответы

trans

trans

Коллеги, прошу не сорится.

Думаю Автору сей темы проще обратится в ИТ службу своей компании и если они сочтут нужным то выполнят пожелания автора, способов много, например фильтр WMI применить к политике или к пользователю или его пк применить исключения.

Но если это проявление противостояния пользователя политикам сб и ит или намерения что либо не хорошего то это повод для создания инцидента в сб и ит предприятия, и последующее увольнение пользователя.

От себя могу сказать что есть не мало продуктов и в том числе у MSFT которые отслеживают не одобренные или не санкционированные изменения и логируют кто и когда их сделал или пытался сделать ну и соответственно в зависимости от настроек правил откатывают их.

Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-tech.net/

Все ответы

trans

trans

Права локального администратора перекрывают права доменного. То есть, настроив локальную политику вы перекроите доменную.

trans

trans

trans

trans

Попробуйте, может поможет

trans

trans

Права локального администратора перекрывают права доменного. То есть, настроив локальную политику вы перекроите доменную.

одного правила из групповых политик?

я так подозреваю, что вы не системный администратор домена, а простой пользователь и пытаетесь обойти корпоративные ограничения?

trans

trans

trans

trans

Мне нужно изменить 2 правила:

Чтобы политики домена их больше не меняли.

trans

trans

trans

trans

Это изменить можно. Но как только вы залогинетесь на компьютере доменной учетной записью, доменные политики вновь будут применены к рабочей станции.

А вообще, обратитесь к администратору домена. Если вы убедите его что вам так надо для работы, то администратор все настроит. Если вы занимаетесь администрированием на предприятии скажем не формально, то начинайте подыскивать новую работу. На этой вы долго не задержитесь.

trans

trans

Это изменить можно. Но как только вы залогинетесь на компьютере доменной учетной записью, доменные политики вновь будут применены к рабочей станции

trans

trans

Anahaym, хорош смешить людей. У юного хакера Егора получается, а у вас не получится.

trans

trans

trans

trans

групповую политику нельзя изменить в редакторе групповых политик, если на она перезаписана доменной:

Можно попробовать в реестре. Но, по умолчанию доменная политика будет обновляться каждые 90 минут. по сему, автору нужно будет запускать reg файл после обновления доменной политики

trans

trans

Коллеги, прошу не сорится.

Думаю Автору сей темы проще обратится в ИТ службу своей компании и если они сочтут нужным то выполнят пожелания автора, способов много, например фильтр WMI применить к политике или к пользователю или его пк применить исключения.

Но если это проявление противостояния пользователя политикам сб и ит или намерения что либо не хорошего то это повод для создания инцидента в сб и ит предприятия, и последующее увольнение пользователя.

От себя могу сказать что есть не мало продуктов и в том числе у MSFT которые отслеживают не одобренные или не санкционированные изменения и логируют кто и когда их сделал или пытался сделать ну и соответственно в зависимости от настроек правил откатывают их.

Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-tech.net/

trans

trans

Коллеги, прошу не сорится.

Думаю Автору сей темы проще обратится в ИТ службу своей компании и если они сочтут нужным то выполнят пожелания автора, способов много, например фильтр WMI применить к политике или к пользователю или его пк применить исключения.

Но если это проявление противостояния пользователя политикам сб и ит или намерения что либо не хорошего то это повод для создания инцидента в сб и ит предприятия, и последующее увольнение пользователя.

От себя могу сказать что есть не мало продуктов и в том числе у MSFT которые отслеживают не одобренные или не санкционированные изменения и логируют кто и когда их сделал или пытался сделать ну и соответственно в зависимости от настроек правил откатывают их.

Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-tech.net/

Каким образом можно через WMI заблокировать нужные мне 2 правила на моем компе?

Никоим образом не получится, так как фильтр WMI на применение политики ставится на DC так же исключение для политики ставятся на DC

Источник

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

gpo2

Или в оснастке Службы (Services).

gpo3

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

gpo4

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

gpo5

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesgpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

gpo6

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

gpo1

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

gpo7

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

gpo8

И еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.

gpo9

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient

gpo10

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Источник

Настройка параметров политики безопасности

Область применения

Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.

Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.

Настройка параметра с помощью консоли Local Security Policy

Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.

В Параметры панели безопасности консоли сделайте одно из следующих:

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Измените параметр политики безопасности и нажмите кнопку ОК.

Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики

Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.

Откройте редактор локальной групповой политики (gpedit.msc).

В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.

Выполните одно из следующих действий.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.

Настройка параметра контроллера домена

Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).

Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .

Выполните одно из следующих действий.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Источник

Как в Windows 10 сбросить настройки локальной групповой политики

reset

Р едактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.

Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.

4728628 1

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».

4728628 2

Те же самые действия повторите для политики в разделе «Конфигурация пользователя».

4728628 3

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер :

RD /S /Q «%WinDir%System32GroupPolicy»
RD /S /Q «%WinDir%System32GroupPolicyUsers»
gpuрdаte /force

Источник

Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin

Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны в справочной таблице.

u5rl8jlozqu5flgjpplrlwpl4e

В этой статье мы расскажем о работах по настройке групповых политик и удобном инструменте для упрощения управления ими — Quest GPOAdmin. Подробности под катом.

Как устроены групповые политики

При создании домена AD автоматически создаются два объекта групповой политики:

Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.

Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.

Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.

Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):

Изменение последовательности GPO. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.

Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.

Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.

Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.

image loader

Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.

juiwoxxffxv9ho1w3das

Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.

По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.

В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.

eh dwp9cownit0fubqr4dd58dp4

Управление групповой политикой и делегирование

Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.

Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.

Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:

Почему встроенные инструменты работы с GPO недостаточно удобны

К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.

Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер и продать в даркнете.

Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.

Как обезопасить GPO (объекты групповой политики)

Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:

В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.

bc0749fe9cd701fd2b802b9d56e51597

Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.

c0aa726ccddc85f948b4bb89dbee0edf

Настраиваемый воркфлоу. В интерфейсе GPOADmin можно заранее определить автоматические действия для различных сценариев.

ca099b6c00ad217d1ed415836dff5a9d

Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.

cb914e871b4040fef11eb5facedbe45b

Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.

4ac8e2de283477d548e8d33e4c46cde3

Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.

478889637785067d8522eea05bdfdb8d

Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.

51d2e39fbb04e4532072985fcf133858

Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.

14ea635dccef11ad3cd7a0c3e0daa583

Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.

94aa5df7b9b87789e39dd5a824d8a9c8

С GPOAdmin можно навести порядок в работе десятка администраторов, которые могут намеренно или случайно вносить неправильные изменения в объекты групповой политики. Теперь о каждом изменении будут знать все.

Мы готовы провести для вас демонстрацию или развернуть решение в вашей инфраструктуре, чтобы вы могли убедиться в ценности GPOAdmin для вашей организации. Решение, действительно, поможет уберечься от фатальных ошибок и навести порядок в домене. Свяжитесь с нами удобным для вас способом.

Источник

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.


А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

gpsvc в task manager

Или в оснастке Службы (Services).

gpsvc в оснастке Services

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

свойства gpsvc

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

останавливаем gpsvc из командной строки

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesgpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

меняем разрешения gpsvc в реестре

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

изменение владельца раздела реестра gpsvc

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

редактируем список доступа раздела реестра

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

настраиваем режим запуска службы gpsvc

И еще. Отключив таким образом службу клиента групповой политики, вы  периодически будете получать в трее уведомления о недоступности службы Windows.

сообщение о недоступности службы

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient

отключаем уведомления о недоступности службы gpsvc

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂  Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Чтобы удалить управляемый объект групповой политики

В дереве консоли управления групповой политикой, нажмите Изменить элемент управления в лес и домен, в котором вы хотите управлять объектами групповой политики. На вкладке «Содержание» щелкните вкладку «Контролируемые», чтобы отобразить управляемые объекты групповой политики. Щелкните правой кнопкой мыши объект групповой политики, который нужно удалить, и выберите команду Удалить.

Как отключить групповую политику?

Щелкните правой кнопкой мыши объект групповой политики, содержащий параметры пользователя или компьютера, которые необходимо отключить, наведите указатель на пункт Состояние объекта групповой политики и выполните одно из следующих действий: Нажмите Пользовательские настройки отключены. чтобы отключить пользовательские настройки для объекта групповой политики. Щелкните Параметры компьютера отключены, чтобы отключить параметры компьютера для объекта групповой политики.

Как мне удалить политику с моего компьютера?

Перейдите в папку «Программное обеспечение» и щелкните стрелку рядом с папкой, чтобы развернуть ее содержимое. Щелкните стрелку рядом с папкой «Политики». Прокрутите вниз до папки «Microsoft» в разделе «Политики», щелкните папку, чтобы выделить ее, и нажмите кнопку «Удалить» на клавиатуре.

Как мне окончательно удалить групповую политику?

Верно-щелкните объект групповой политики, чтобы уничтожить, а затем нажмите «Уничтожить». Щелкните Да, чтобы подтвердить, что вы хотите окончательно удалить выбранный объект групповой политики и все резервные копии из архива. Когда в окне «Ход выполнения» будет указано, что общий прогресс завершен, нажмите «Закрыть». Объект групповой политики удаляется из вкладки «Корзина» и удаляется безвозвратно.

Как удалить локальную политику безопасности?

Сбросить настройки конфигурации пользователя

  1. Откройте «Старт».
  2. Найдите gpedit. …
  3. Перейдите по следующему пути:…
  4. Щелкните заголовок столбца «Состояние», чтобы отсортировать параметры и просмотреть значения «Включено» и «Отключено». …
  5. Дважды щелкните одну из ранее измененных политик.
  6. Выберите вариант Не настроено. …
  7. Нажмите кнопку Применить.

Как исправить, что эта программа заблокирована групповой политикой?

Как разблокировать программу, заблокированную администратором?

  1. Отключите политику ограниченного использования программ. Нажмите Windows Key + X -> Выберите командную строку (администратор). …
  2. Удалить ключи реестра. Нажмите Windows Key + R -> Введите regedit -> Нажмите Enter, чтобы открыть редактор реестра. …
  3. Создайте новую учетную запись пользователя.

Как отключить Центр обновления Windows в групповой политике?

Как отключить автоматические обновления с помощью групповой политики

  1. Откройте «Старт».
  2. Найдите gpedit. …
  3. Перейдите по следующему пути:…
  4. Дважды щелкните политику «Настроить автоматическое обновление» справа. …
  5. Установите флажок «Отключено», чтобы навсегда отключить автоматические обновления в Windows 10.…
  6. Нажмите кнопку Применить.
  7. Нажмите кнопку ОК.

Отменяет ли групповая политика локальную политику?

A: значение, определенное для любой политики (например, минимальная длина пароля, определенная как восемь) в объектах групповой политики (GPO) отменяет любое значение, определенное для той же политики в объект локальной политики компьютера. … Политики, определенные выше в структуре OU, переопределяются конфликтующими политиками в более низких OU.

Как очистить все групповые политики до значений по умолчанию на моем компьютере?

По умолчанию все политики в редакторе групповой политики настроены. на «Не настроено. » Чтобы сбросить политику, все, что вам нужно сделать, это выбрать переключатель «Не настроено», затем нажать кнопку «ОК», чтобы сохранить изменения.

Как отключить политику локального домена?

Вариант 1 — отключить обновление групповой политики

  1. Удерживая нажатой клавишу Windows, нажмите «R», чтобы открыть командное окно «Выполнить».
  2. Введите «gpedit. …
  3. В «Политике локального компьютера» перейдите в «Конфигурация компьютера»> «Административные шаблоны»> «Система»> «Групповая политика».
  4. Откройте параметр «Отключить фоновое обновление групповой политики».

При удалении групповой политики спрашивает?

Примечание. Когда вы удаляете объект групповой политики, он запрашивает две вещи: Удалить ссылку из этого списка. Удалите ссылку и навсегда удалите объект групповой политики.

Содержание

  • 1 Сброс с помощью редактора локальной групповой политики
  • 2 Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
  • 3 Удаление локальных групповых политик
  • 4 Отменяем действие групповых политик на локальном компьютере

reset-windows-policies.pngМногие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС и в Windows 7 Максимальная), редактора реестра или, иногда, сторонних программ.

В некоторых случаях может потребоваться сбросить параметры локальной групповой политики на настройки по умолчанию — как правило, необходимость возникает, когда какую-то системную функцию не удается включить или отключить другим способом или невозможно изменение каких-либо параметров (в Windows 10 при этом вы можете видеть сообщение о том, что некоторыми параметрами управляет администратор или организация).

В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 10, 8 и Windows 7 различными способами.

Сброс с помощью редактора локальной групповой политики

Первый способ сброса — использовать встроенный в Windows версий Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики.

Шаги будут выглядеть следующим образом

  1. Запустите редактор локальной групповой политики, нажав клавиши Win+R на клавиатуре, введя gpedit.msc и нажав Enter.
  2. Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». view-changed-local-group-policies.png
  3. Для всех параметров, у которых значение состояния отличается от «Не задана» дважды кликните по параметру и установите значение «Не задано». set-group-policy-not-set.png
  4. Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».

Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).

Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7

Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности имеют заданные значения по умолчанию.

Для сброса вы можете использовать командную строку, запущенную от имени администратора, в которую следует ввести команду

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

и нажать Enter.

reset-security-policies-windows.png

Удаление локальных групповых политик

Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.

Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.

Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):

RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force

Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.

Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.

Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.

Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.

4728628_1.png

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».

4728628_2.png

Те же самые действия повторите для политики в разделе «Конфигурация пользователя».

4728628_3.png

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:

RD /S /Q «%WinDir%System32GroupPolicy»RD /S /Q «%WinDir%System32GroupPolicyUsers»gpuрdаte /force

4728628_4.png

И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

4728628_5.png

Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.

Previous Entry | Next Entry

Отменяем действие групповых политик на локальном компьютере

Отменяем действие групповых политик на локальном компьютереhttps://windowsnotes.ru/windows-7/otmenyaem-dejstvie-gruppovyx-politik-na-lokalnom-kompyutere/Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.1128802_original.pngИли в оснастке Службы (Services).1129085_original.pnggpsvc в оснастке ServicesПервое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.1129390_original.pngсвойства gpsvcКак вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc1129713_original.pngостанавливаем gpsvc из командной строкиНо решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.Настройки службы находятся в разделе . По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».1129787_original.pngменяем разрешения gpsvc в реестреПервым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.1130183_original.pngизменение владельца раздела реестра gpsvcПосле чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.1130404_original.pngредактируем список доступа раздела реестраТеперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.1130634_original.pngнастраиваем режим запуска службы gpsvcИ еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.1130946_original.pngсообщение о недоступности службыЧтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра 1131089_original.pngотключаем уведомления о недоступности службы gpsvcТаким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.Дополнительная информация:https://social.technet.microsoft.com/Forums/ru-RU/86e85860-d16c-404e-b267-bd10deebfbdb/windows-windows-7-x86-rus-ent-sp1?forum=windows7ruWindows не удается подключиться к службе «Клиент групповой политики». Windows 7 x86 rus ent SP1Решение:…отсутствие некоторых ключей реестра.

  1. Грузимся под администратором, WIN+R, regedit.exe
  2. создаем REG_MULTI_SZ с названием GPSvcGroup и параметром GPSvc
  3. DWORD(32 бита) название AuthenticationCapabilities значение 0x00003020 (12320)
  4. DWORD(32 бита) название CoInitializeSecurityParam значение 0x00000001 (1)
  5. Перезагружаемся.

PS на всякий случай вот содержимое reg файла:Windows Registry Editor Version 5.00

Profile

bga68

Latest Month

December 2019
S M T W T F S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

View All Archives

Tags

View my Tags page

Categories

View my Categories page Powered by LiveJournal.comDesigned by Emile OngИспользуемые источники:

  • https://remontka.pro/reset-policies-windows/
  • https://www.white-windows.ru/kak-v-windows-10-sbrosit-nastrojki-lokalnoj-gruppovoj-politiki/
  • https://bga68.livejournal.com/459298.html

16.12.2020

Просмотров: 4177

При решении различных проблем, а также ошибок на компьютере с Windows 10, пользователи часто прибегают к изменению параметров групповых политик. Однако, внося изменения, пользователь не может быть уверенным в том, что при решении одной проблемы, не появится другая, или какая-то функция будет работать должным образом. Поэтому иногда решить неполадку получается, выполнив сброс групповой политики в Windows 10 или на другой сборке.

Читайте также: Редактор локальных групповых политик в Windows 10 и его интеграция

Сброс параметров всех групповых политик

Перед тем, как выполнять сброс групповой политики в Windows 10, стоит создать точку по восстановлению системы, так как любые изменения могут сказаться на работоспособности системы.

  • Запускаем командную строку с правами Администратора.
  • Вводим RD /S /Q «%WinDir%System32GroupPolicyUsers» && RD /S /Q «%WinDir%System32GroupPolicy»

  • Обязательно перезагружаем систему, чтобы изменения вступили в силу.

Если этот способ не помог, то можно попробовать сбросить конфигурацию компьютера и пользователя. В первом случае стоит выполнить следующие действия:

  • Жмем «Win+R» и вводим «gpedit.msc».

  • Далее переходим по ветке «Конфигурация компьютера», «Административные шаблоны», «Все параметры».
  • В окне справа нужно нажать на столбце «Состояние», чтобы отсортировать список по включенным.

  • Теперь выбираем ту политику, которую нужно отключить. Выбираем «Не задано».

  • Перезагружаем ПК, чтобы изменения вступили в силу.

Принцип сброса параметров групповых политик пользователя в Windows 10 аналогичный тому, что выше. Нужно нажать «Win+R» и ввести «gpedit.msc». Теперь переходим по ветке «Конфигурация пользователя», «Административные шаблоны», «Все параметры». Чтобы отсортировать список групп по включенным, нажимаем вверху на кнопке «Состояние».

Далее нужно по очереди отключать нужные группы, выбрав значение «Не задано».

Перезагружаем ПК, чтобы изменения вступили в силу.

Нужно отметить, если после сброса параметров групповых политик никаких изменений не произошло, вы можете воспользоваться точкой восстановления системы и отменить все изменения путем отката Windows.

Как сбросить политики WindowsМногие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС), редактора реестра или, иногда, сторонних программ.

В некоторых случаях может потребоваться сбросить параметры локальной групповой политики на настройки по умолчанию — как правило, необходимость возникает, когда какую-то системную функцию не удается включить или отключить другим способом или невозможно изменение каких-либо параметров (в Windows 10 при этом вы можете видеть сообщение о том, что некоторыми параметрами управляет администратор или организация). В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 11 и Windows 10, 8.1 и Windows 7 различными способами.

Сброс вручную с помощью редактора локальной групповой политики

Первый способ сброса — использовать встроенный в Windows 11, Windows 10 и предыдущих версий в редакцииях Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики. При использовании этого метода получится сбросить только политики, настроенные в разделе «Административные шаблоны», но так как у большинства пользователей параметры в других расположениях не меняются, этого может быть достаточно.

Шаги будут выглядеть следующим образом

  1. Запустите редактор локальной групповой политики. Для этого нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
  2. Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». Обратите внимание: сортировка выполняется по алфавиту, то есть отключенные политики, если отсортировать состояние как на изображении ниже, окажутся внизу списка.Просмотр измененных локальных групповых политик
  3. Для всех параметров, у которых значение состояния отличается от «Не задана» (то есть в состоянии указано Включена или Отключена) дважды кликните по параметру и установите значение «Не задано». Сброс локальной групповой политики
  4. Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».

Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).

Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7

Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности по умолчанию уже имеют заданные значения.

Для сброса вы можете использовать командную строку, запущенную от имени администратора (Как запустить командную строку от имени администратора в Windows 11, Запуск командной строки от администратора в Windows 10 и предыдущих версиях ОС), в которую следует ввести команду

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

и нажать Enter.

Сброс политик безопасности Windows

Удаление локальных групповых политик для восстановления значений по умолчанию

Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.

Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.

Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):

RD /S /Q "%WinDir%System32GroupPolicy"
RD /S /Q "%WinDir%System32GroupPolicyUsers"
gpupdate /force

Видео инструкция

Если ни один из способов вам не помог, можно Сбросить Windows 11 к заводским настройкам или Сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.

  • Remove From My Forums

 locked

Можно ли заблокировать групповую политику на клиентском компьютере?

  • Вопрос

  • Здравствуйте. Есть домен с групповыми политиками. Можно ли, имея права локального администратора на компьютере, заблокировать на этом компьютере применение одного правила из групповых политик?

Ответы

  • Добрый день.

    Коллеги, прошу не сорится.

    Думаю Автору сей темы проще обратится в ИТ службу своей компании и если они сочтут нужным то выполнят пожелания автора, способов много,  например фильтр WMI применить к политике или к пользователю или его пк
    применить исключения.

    Но если это проявление противостояния пользователя политикам сб и ит или намерения что либо не хорошего то это повод для создания инцидента в сб и ит  предприятия, и последующее увольнение пользователя.

    От себя могу сказать что есть не мало продуктов и в том числе у MSFT которые отслеживают не одобренные или не санкционированные изменения и логируют кто и когда их сделал или пытался сделать ну и соответственно в зависимости
    от настроек правил откатывают их.


    Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-tech.net/

    • Изменено

      20 мая 2016 г. 13:57
      Дополнил

    • Предложено в качестве ответа
      Vlad_TMVP
      20 мая 2016 г. 13:57
    • Помечено в качестве ответа
      Dmitriy VereshchakMicrosoft contingent staff, Moderator
      23 мая 2016 г. 9:08

Like this post? Please share to your friends:
  • Как отключить горячие клавиши в windows 10 перо
  • Как отключить доменную политику на компьютере windows 10
  • Как отключить загрузку ненужных программ windows 10
  • Как отключить загрузку драйвера при запуске windows
  • Как отключить домашнюю сеть в windows 10